Jour 23 • Veille et cahier des charges

Ce matin, j’ai profité de peu de chose à faire pour faire un peu de veille technologique. J’ai par exemple appris qu’une société a été condamnée par la CNIL pour une politique de mot de passe trop faible. À la base, la CNIL était venue pour un système de vidéo-surveillance mis en place de façon pas nette, et dans son investigation a aussi sanctionné ce détail.

J’en ai aussi profité pour parcourir bon nombres de page du Monde informatique, que je connaissais pas encore  :

L’après-midi a été consacré à la lecture/relecture de du cahier des charges de l’offre publique concernant la gestion de hébergement et de la DMZ publique de la collectivité local.
À la différence d’une entreprise, chaque marché doit faire l’objet d’un appel d’offre public. Il faut donc rédiger le document de telle manière à exprimer les souhaites et attentes pour le projet, tout en ne délimitant pas trop le cahier des charges, car dans ce cas aucune entreprise ne répondrait. Il faut jongler intelligemment, car c’est ce document qui fera office de contrat par la suite.

Et il faut avouer que ce n’est pas facile. Car il faut en plus coordonner chaque partie ou sous-partie avec la personne responsable du service pour que ses contraintes soient respectées…

Jour 15 • Brosse à dents

Nous voici déjà vendredi. Ce soir, après trois semaines — à raison de 5 jours ouvrés par semaine —, je viens de passer la moitié de mon stage. Déjà !

La journée a été très calme. Mes recommandations concernant les bonnes pratiques de développement de sites web concernant la sécurité ont été envoyées hier à mon maître de stage A.. Aujourd’hui, il a passé la journée avec un représentant CIL1. N’ayant pas de code source à vérifier, et P. étant sur un audit de site — d’ailleurs, il a été fait avec Joomla! 1.5, c’est fou le nombre de failles que cette version possède ! — j’ai pu flâner un peu sur Internet.

Et mine de rien, ça n’a pas été si chronophage : j’ai trouvé une métaphore assez intéressante entre les mots de passe et les brosses à dents sur le site du département sécurité du CERN.

Un mot de passe c’est comme une brosse à dents : c’est personnel et ça se change régulièrement !

J’ai juste trouvé ça bien représentatif.

Lundi commencera une nouvelle semaine, la seconde moitié du stage. J’espère qu’elle sera aussi intéressante et instructive que la première partie !


  1. Correspondant Informatique et Libertés, sorte de correspondant de la CNIL. 

Jour 14 • Recommandations

Pour cet avant-dernier jour avant le weekend, je n’ai pas vu passer la matinée. Nous avons fait un rapide compte-rendu de notre réunion d’hier avec B..
J’ai ensuite continué et enfin terminé mon document sur les recommandations de sécurité lors du développement d’applications web. Il fait actuellement 9 pages1, et compte 2000 mots2.

Feuille de route recommandations sécurité applications web

En début d’après-midi j’ai envoyé mon travail à A. pour qu’il y jette un coup d’œil quand il aura le temps. Une des finalités de mon stage était de produire un document analogue. J’aurais certainement d’autres occasions avant la fin du stage pour ajouter certains recommandations, si on s’aperçoit d’autres vulnérabilités « basiques » dans les futures applications auditées. Nous allons d’ailleurs commencer par auditer nos applications internes avant de nous intéresser au site internet hébergé par notre prestataire.
Il faut d’ailleurs que nous demandions à B. les codes sources de ces applications.

P. a fait des travaux pratiques : depuis quelques jours il prépare des démonstrations de sécurité — enfin de vulnérabilité — à destination des membres de la DSIT. Il nous a ainsi montré :

  1. Comment créer un hotspot wifi depuis son ordinateur, en forçant la navigation de manière non sécurisé (protocole HTTP au lieu de HTTPS) pour récupérer des identifiants de connexion3. Un internaute lambda ne se doutera de rien…
  2. Comment transformer son ordinateur en proxy pour ajouter du code JavaScript sur chaque page demandée et retournée, permettant ainsi de récupérer toutes les données tapées par un utilisateur…

C’est déjà assez impressionnant, mais le pire, c’est la facilité avec laquelle il met ça en place !

Il s’est aussi posé la question du VPN mis en place pour les prestataires ayant besoin d’accéder aux serveurs de production d’applications hébergés dans les locaux de la DSIT. En effet, les prestataires trouvent inadmissibles de ne pas pouvoir accéder à Internet depuis leur connexion VPN. Le problème sous-jacent, à notre avis, est qu’une fois connecté en VPN, ils ne peuvent plus accéder aux dossiers partagés sur leur propre réseau… :O


  1. Dont une page de garde, une page avec les finalités du document et le sommaire, et une page pour la feuille de route. 

  2. Exactement 2000 mots ! Bon après relecture d’A. ce nombre devrait certainement varier de quelques dizaines… 

  3. Par exemple les pages d’authentification de Google, Facebook, Outlook, …